Le rançongiciel WastedLocker frappe maintenant les employés du bureau à domicile

Une nouvelle arnaque aux logiciels malveillants est apparue au premier plan, cette fois conçue pour frapper en particulier les employés des bureaux à domicile. Pas étonnant si vous considérez que près des 2/3 de tous les employés américains sont actuellement coincés à la maison pour un travail éloigné en raison de la pandémie de Covid-19 en cours. Désormais, des millions d'employés à domicile sont confrontés à une menace de ransomware appelée WastedLocker . Associé au cybergang Evil Corp , Wasted Locker aurait frappé des dizaines d'entreprises à ce jour et traquerait maintenant les utilisateurs de PC à domicile connectés à un VPN.

Infection à plusieurs niveaux via un framework JavaScript

Pour planter une infection ransomware WastedLocker sur un appareil ciblé, les acteurs en charge doivent rediriger les utilisateurs Web vers un site Web compromis contenant le soi-disant SocGholish - un framework JavaScript rempli de code malveillant - généralement déguisé en une fausse mise à jour logicielle dans un archive .zip. Une fois exécuté, SocGholish JavaScript lance un autre composant JS via l'hôte de script wscript.exe pour recueillir des détails sur le PC. Ensuite, il déploie PowerShell pour télécharger l'outil Cobalt Strike avec un injecteur .NET. Le premier fournit un accès non autorisé au système. Ce dernier est capable d' exécuter des charges utiles malveillantes directement dans la mémoire système, évitant ainsi la protection des terminaux. Les deux outils fournissent finalement la charge utile Cobalt Strike Beacon. Le Beacon sert de panneau de commande principal pour toute autre injection de code, exécution de commande et élévation de privilèges.

Cette semaine dans l'épisode 13 de Malware, partie 1: Les pirates informatiques d'Evil Corp sont empêchés de déployer le ransomware WastedLocker

Avant de déclencher l'infection réelle du ransomware WastedLocker, les escrocs altèrent les paramètres de Windows Defender pour l'empêcher d'exécuter des analyses et une surveillance en temps réel. Ensuite, ils déploient l'outil de ligne de commande PsExec pour exécuter la charge utile très WastedLocker.

Chiffrement

Une fois lancé, WastedLocker commence à crypter les données de la victime. Il supprime également tous les clichés instantanés de volume présents sur le système. En fin de compte, l'attaque paralyse le réseau de l'utilisateur et cause de graves obstacles à son flux de travail. Bien que le montant exact de la rançon demandée reste inconnu, les escrocs d'Evil Corp auraient gagné des millions de dollars. Ils l'ont fait en concentrant leurs efforts pour compromettre les sites Web appartenant à de grandes entreprises sur l'ensemble du spectre des activités aux États-Unis. Jusqu'à présent, les entreprises les plus fréquemment ciblées proviennent de l'industrie manufacturière, suivie de la sphère informatique et des médias et télécommunications.